核心交换机检查列表

核心交换机检查列 交换机检查列表 时间 地点 检测者 陪检者 设备IP 设备名称型号 物理位置 用途 方式 问卷调查、登录查看、技术检测 对象 系统的交换机和负载均衡设备 交换机特别是三层交换机操作系统的安全性，是否存在安全漏洞，补丁的安装情况;交换机VLAN的划分，以及各VLAN间的访 问控制策略;交换机的口令设置和管理，口令文件的安全存储形式，以及配置文件的备份。 内容 对负载均衡设备的检测内容主要有两个方面:一是其操作系统是否安全，例如是否存在安全漏洞，补丁是否正确及时安装;二 是配置是否正确，与安全策略一致。 ? 需要设备管理员、网络管理员、安全管理员的积极配合 ? 提供操作间的一台终端 保障条件 ? 需要被检网络设备的管理员帐户和口令 ? 需要在机房中系统的不同网段提供接入点 检查步骤 检查项 检查内容 结果 交换机的制造商及型号，采用何种操 作系统 版本及更新 交换机的软件版本是否是最新的稳定 版本或补丁，上线前是否经过测试 是否采用了负载均衡 接入位置及部署方式 在机房中检查交换机的部署是否与拓 扑图中标识的一致，是否合理 调查和识别可能未记录的帐户，密码 管理是否合理，是否按规定设置和定 期修改密码 对用户模式、特权模式及配置模式是 否配置了各不相同的强口令 用户及口令管理 交换机配置文件是否离线保存、注释、 保密、有限访问，并保持与运行配置 同步 是否有明确的授权人员的访问限制 VLAN的划分和使用是否合理 VLAN管理 确定VLAN 1中是否允许引入用户数 据，是否只能用于交换机内部通讯 交换机是否启用了TRUNK模式， TRUNK模式是否合理 是否使不用的交换机端口失效，shutdown所有不用的端口，并在不使 用时为它们分配一个VLAN号 在交换机管理方面，是否设置了会话 超时机制和特权等级 是否将访问控制配置设置成保护 自身安全防护 SNMP社区字符串 交换机默认的Security Banner是否更 改 在操作终端上检查交换机访问控制表 是否正确 交换机访问控制策略中是否出现重复 访问列表 或冲突 检查交换机规则是否正确配置，是否正确执行访问控制规则中定义的安全 策略 向日志管理有关的人员征询是否有相 应的日志管理策略。即日志的分类， 日志的保存时间和实时性，以及日志 报警的方式，当日志的阈制和日志满 时的处理方式。 配置交换机,使得在日志记录中包括 时间信息。配置交换机使得包括准确 的时间信息，建议使用NTP服务和时审计和日志记录 间戳。 是否有专门的日志管理主机，;是否启 用logging功能，发送日志到专用的安 全的日志主机, 在操作终端上查看负载均衡设备日 志，检查是否能按设计策略进行负载 分配(仅对负载均衡时适用) 严格控制可以访问交换机的管理员， 只有在允许访问交换机的授权人员列 自身访问控制策略 表上的人员可以访问控制交换机。要 求对可以访问交换机的管理员进行控 制，并且对任何一次维护都需要记录 备案。 有没有采取相应的管理访问策略，是 否对管理人员对网络设备的操作进行 权限设置权限 交换机远程管理方式是否采用了ssh ，无法避免telnet时候是否为 telnet的使用采用了一定的限制 是否用不安全的Web浏览器方式配置 和管理交换机 是否采用带外方式管理交换机 是否采用了SNMP协议管理 如果使用SNMP，建议使用SNMPv2， 并使用强壮的SNMP community strings。是否存在安全方面的问题。 交换机的端口与用户计算机的MAC及 IP地址是否绑定 交换机是否采用了AAA认证方式， 查看具体的AAA管理和配置情况， 安全加强 能否符合本地的和远程的访问。 是否禁用了不使用的服务 是否关闭交换机上不必要的服务,包括:TCP和UDP小服务、CDP、finger等 是否更改了不安全的默认值，包括厂 家初始密码和SNMP社区字符串 在操作间终端上检查各网络设备运行状况是否良好，功能实现是否正常， 是否能够保证网络应用数据流的正常传输 网络设备操作系统的运行稳定性，是否发生过故障，故障处理措施是否及 运行维护 时合理 有无发生过安全事件，出现安全事件 后有无合理的机制来及时应对 是否具有交换机安全管理状况或 是否具有交换机系统运行监测报告。 售后服务和技术支持手段是否完备。 序号 存在问题 结果 检查方式 1. 用户与设备间通信不应存在账号共享; 配置核查 2. 静态口令未使用不可逆加密算法加密后保存于配置文件中; 配置核查 3. 动态路由协议BGP未配置md5加密; 配置核查 4. 动态路由协议OSPF未配置md5加密; 配置核查 5. 动态路由协议ISIS未配置md5加密; 配置核查 6. SNMP Community读默认通行字未做更改; 配置核查 7. 未限定与网络设备进行SNMP协议读交互的主机地址; 配置核查 8. 网络设备未配置SNMP V2 以上的版本; 配置核查 9. SNMP Community写默认通行字未做更改; 配置核查 10. 未限定与网络设备进行SNMP协议写交互主机的地址; 配置核查 11. 未配置设备日志以记录用户对设备的操作; 配置核查 12. 未配置日志以记录设备相关的安全事件; 配置核查 13. 设备不支持远程日志功能; 配置核查 14. 未开启NTP服务; 配置核查 15. 网络设备未开启SSH; 配置核查 16. 检查网络设备未禁用TELNET; 配置核查 17. 网络设备发生过故障，故障处理措施不及时合理; 访谈 18. 未建立交换机安全管理状况报告或交换机系统运行监测报告; 查看 附录1.1.1配置核查详细结果 检查结果 序号 管理地址 设备型号 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 1) 交换机的补丁未做及时更新; 2) 交换机的部署位置与拓扑图中标识的位置不一致; 3) 用户与设备间通信不应存在账号共享; 4) 静态口令未使用不可逆加密算法加密后保存于配置文件中; 5) 对具备管理员权限的用户远程登录交换机未做限制; 6) 动态路由协议BGP未配置md5加密; 7) 动态路由协议OSPF未配置md5加密; 8) 动态路由协议ISIS未配置md5加密; 9) SNMP Community读默认通行字未做更改; 说明 10) 未限定与网络设备进行SNMP协议读交互的主机地址; 11) 网络设备未配置SNMP V2 以上的版本; 12) SNMP Community写默认通行字未做更改; 13) 未限定与网络设备进行SNMP协议写交互主机的地址; 14) 未配置设备日志以记录用户对设备的操作; 15) 未配置日志以记录设备相关的安全事件; 16) 设备不支持远程日志功能; 17) 未开启NTP服务; 18) 网络设备未开启SSH; 19) 检查网络设备未禁用TELNET; 20) 网络设备发生过故障，故障处理措施不及时合理; 21) 发生过安全事件，缺乏安全有效的安全处置手段; 22) 未建立交换机安全管理状况报告或交换机系统运行监测报告; 23) 售后服务和技术支持手段不完备，厂商不能及时处理设备故障; ? ?为存在该项问题 ? ?为不存在该项问题 ??为该项问题不适用于此设备